Suplantación de DNS de un ataque de intermediario
La suplantación de DNS es una de las técnicas habituales. El atacante resuelve la IP correspondiente al nombre de dominio de la máquina objetivo a la que la víctima quiere acceder invadiendo el servidor DNS, controlando el enrutador, etc. a una máquina controlada por el atacante, de esta forma, los datos que la víctima originalmente. La información que desea enviar a la máquina objetivo se envía a la máquina del atacante. En este momento, el atacante puede monitorear o incluso modificar los datos, recopilando así una gran cantidad de información. Si el atacante solo quiere monitorear los datos de la conversación entre las dos partes, reenviará todos los datos a la máquina objetivo real, dejará que la máquina objetivo los procese y luego enviará los resultados del procesamiento a la máquina víctima original si el atacante; quiere realizar una completa Para destruirlo, disfrazará la máquina objetivo para que devuelva datos, de modo que la víctima reciba y procese los datos que ya no esperaba, sino los que esperaba el atacante. Por ejemplo, si el servidor DNS resuelve la IP del sitio web del banco en la IP de su propia máquina y al mismo tiempo falsifica la página de inicio de sesión del banco en su propia máquina, el número de cuenta y la contraseña reales de la víctima quedarán expuestos al intruso. .
De esta manera, este tipo de ataque debería ser el más poderoso y peligroso, pero de hecho rara vez se usa, porque el modelo de ataque de suplantación de DNS es demasiado ideal. En la vida real, la mayoría de las solicitudes de resolución de DNS de los usuarios se realizan a través de sus propios servidores ISP. En otras palabras, cuando el sistema se conecta a la red, obtendrá la dirección del servidor DNS proporcionada por el servidor ISP y todas las solicitudes de resolución se envían directamente. El atacante no tiene adónde ir a este servidor DNS, a menos que pueda invadir y cambiar la dirección de resolución del servicio DNS en el servidor ISP. Por lo tanto, este método tiene pocas posibilidades de éxito en una red de área amplia.
Por supuesto, existen excepciones a la tasa de éxito de este ataque. Por ejemplo, si hay una vulnerabilidad Bind en un servidor ISP, un atacante puede ingresar al servidor a través de la vulnerabilidad Bind para cambiar la resolución DNS. dirección, o incluso obtener la autoridad más alta. El primer método es invadir el dispositivo de enrutamiento y modificar la dirección del servidor DNS interno a la dirección de la máquina que usted controla. Este método solo puede tener éxito cuando la máquina del usuario devuelve la resolución del nombre de dominio. a través del enrutador Es más común en algunos usuarios que usan banda ancha residencial para conectarse a Internet, porque la dirección DNS de dichas máquinas de usuario generalmente debe apuntar a una determinada dirección de servidor dentro de la banda ancha comunitaria o entregarse al enrutador. para la redirección En este momento, siempre que el atacante invada el enrutador o el servidor relacionado con todos modifique el registro DNS, la red de usuarios de toda la comunidad se arruinará. Por supuesto, el atacante no puede falsificar todos los sitios web del mundo en su disco duro. Sólo necesita cambiar las direcciones de algunos sitios comerciales importantes. Esto hará que los usuarios sean redirigidos a la máquina del atacante cuando visiten ciertos sitios comerciales. Sin embargo, este método de ataque también es perjudicial para el propio atacante: si muchos usuarios de la comunidad visitan estos sitios comerciales, una gran cantidad de solicitudes de datos consumirán locamente los recursos de la máquina del atacante. No solo el atacante no puede procesar los datos en tiempo real. , pero también enfrenta el doble peligro de paralizar la máquina y exponerse.